安全的下一步思考，和阿里安全談安全有感

安全是馬斯洛需求的最根本層次，不過他並不像很多人想像中那麼的古板，而是一直在發生變化，甚至比大部分互聯網產業變化都更快速，更徹底。最近有機會和阿里安全部的很多同仁一起溝通，在溝通中產生了一些新的想法，藉此記錄下來，也希望對一些同行有所參考。

一、大數據安全

最重要的事情放在前面說，這裡的大數據安全，不是傳統意義上的保障大數據的安全，而是用大數據來做安全。簡單舉個例子：由於偽基站和一些新的技術出現，以往通過電話號碼識別詐騙簡訊的方法已經有些力不從心。但實際上，銀行、電信、公安等系統發布的簡訊是有固定格式與語言風格的。當我們擁有一定數據規模時，完全可以通過大數據進行語義對比，你收到的簡訊內容和其他用戶收到的銀行簡訊內容都不一樣，或者某些關鍵語義明顯異於正常簡訊，那麼這就是有問題的簡訊。這種技術完全可以通過軟體手段防範詐騙簡訊，而且無需辨別號碼，也不必如傳統號碼方式等到詐騙簡訊達到一定規模後才能確認。

在11年我曾經申請了基於大數據來判定安全的專利，其中一個就是文件的雲比對技術。和簡訊識別很類似，就是通過雲端收集大量的文件信息，當你的文件與標準文件，或者與其他人的文件不一樣，就可以通過某些演算法來判定你的文件被修改過，進而懷疑其有問題。這種技術不需要找到病毒特徵碼，不被變種影響，也是基於大數據來判定文件問題。

同樣，大數據安全的思路甚至還可以解決DDOS這種近乎無解的問題，畢竟DDOS的本質就是「大數據攻擊」，不要固化在以往的被動攻防思路，從大數據安全形度出發，會發現同樣利用大數據可以有效防禦DDOS，具體細節就不多說了。

二、雲協同系統

一流的安全輸出的是體系與標準，甚至是信任。我是比較推崇協同辦公系統的，因為好記性與經常開會絕對比不上一套好用的任務系統。不過以前一直是自己開發，這次在一家公司推動第三方的協同辦公，赫然發現幾乎所有的雲協同系統都只存在公有雲部署。這對企業數據的保密性來說是很難接受的。一旦用了這些系統，那麼提供方公司可以獲取我們的所有通訊錄、任務信息、流程信息等等，甚至個人信息與密碼，完全無保密可言，不論他們做什麼保證，都很難讓人相信。有需求就有產品，從這個角度出發，那麼阿里能否制定一套標準來規範這個市場？凡是使用這套協同辦公加密方案的，就會被認為是安全而不泄密的。相信這套體系會給阿里與協同辦公市場同樣帶來巨大的價值，甚至幫助標準提供方形成企業辦公市場的絕對話語權。同時也會推動協同辦公市場的發展，提升大家的信任程度。

三、動態密碼系統

好密碼是什麼？凡是有點安全意識的人都知道：一要夠長，二要複雜，三要經常換，而且最好每個站都不一樣。這四條原則無一不是反人類的。而阿里內部對密碼管理更是嚴格，伺服器登錄密碼幾分鐘一換，那麼我們能不能根據伺服器密碼的管理體系設計一套針對個人用戶的密碼系統？我相信這裡大有可為，而且通過一些小的流程改造，用戶體驗不會差。甚至用戶只需要記住簡單幾個字元，就可以滿足好密碼的所有條件，而且大幅度降低撞庫的可能性。

四、安全與安全感

從技術層面思考，用戶需要的是安全這個結果，所以對用戶的干擾越少越好。但是從產品層面來說，用戶其實要的是安全感。安全與安全感，是兩件不同的事情。「奇葩說」這個節目里曾經舉過一個很好的例子，那就是張家界的玻璃懸空大橋。鋼化玻璃的技術指標與安全係數甚至超過鋼鐵本身，是非常安全的，但是絕大部分用戶都被嚇得舉步維艱。這就是典型的缺乏安全感，哪怕是換成安全性遠遠不足的木板橋，用戶都可以輕鬆渡過。而好的安全防護，一定不能忽視用戶的「安全感」。

安全同樣需要聚焦，以錢盾為例。阿里錢盾定位應該在於保障用戶的資金安全。這個軟體不但能充分發揮阿里的資源，也把握了一個未來非常巨大且重要的市場，堪稱產品定位的典範。

不過目前來看，錢盾的定位落實到產品上卻有點模糊，甚至花了很大力氣去做和普通手機安全軟體相同的功能，比如深度清理等等。用戶的第一印象非常重要，錢盾就要做出錢盾的樣子。反貪局不能幹公安局的事，既不專業，也丟失了自己的特色。

在資金安全這件事上，安全軟體能做的太多太多，只要多聽聽初級用戶真正的顧慮，就能發現無數的需求。比如錢盾能否和各個銀行客戶端合作提供一站式的安全餘額查詢服務？查詢餘額絕對是一個最頻繁的需求，能不能讓我每次查詢銀行餘額不必打開不同的銀行客戶端，而且每次都擔心帳號密碼被盜？基於這個定位能做的東西非常多，就不在這裡累述了。

安全，從來都是一個充滿變化的行業，從PC端時代的攻防到移動時代的反騷擾就是一個非常好的例子。安全可以是一個異常性感的行業，而且在大數據時代，傳統的安全已經不能滿足新的需求，只要你保持創新，迎接變化，一定會衍生出巨大的機會

推薦閱讀：